IceApple Malware
Actorii amenințărilor au folosit un cadru sofisticat de malware post-exploatare într-o serie de atacuri direcționate începând cu cel puțin 2021. Malware-ul este urmărit ca IceApple de către cercetătorii în securitate cibernetică de la echipa Falcon OverWatch, divizia de vânătoare a amenințărilor a CrowdStrike.
Potrivit constatărilor lor, infractorii cibernetici au vizat entități din mai multe sectoare industriale - tehnologie, guvern și locații academice și geografice multiple. Scopul probabil al campaniilor de atac pare a fi spionajul cibernetic și furtul de date. IceApple nu a fost atribuit unui anumit grup de hackeri, dar comportamentul său prezintă semne asociate în mod obișnuit cu actori de amenințări aliniați cu China și sponsorizați de stat.
Detalii tehnice
Cadrul IceApple este bazat pe net și constă din cel puțin 18 module diferite de amenințare. S-a găsit implementat pe instanțe Microsoft Exchange Server, dar poate fi la fel de eficient atunci când rulează pe aplicații web Internet Information Services (IIS). De fapt, conform CrowdStrike OverWatch, criminalii cibernetici care au dezvoltat malware-ul trebuie să fi avut cunoștințe extinse și profunde despre funcționarea interioară a software-ului IIS.
Aceste cunoștințe sunt exemplificate în tehnicile de detectare-evaziune ale IceApple. Diferitele module sunt rulate în memorie pentru a reduce amprenta amenințării pe sistemele încălcate. În plus, IceApple se îmbină cu mediul natural al sistemului prin crearea de fișiere de asamblare care la prima vedere par a fi generate în mod legitim de serverul web IIS.
Module amenințătoare
Funcționalitatea IceApple depinde de modulele implementate. Fiecare dintre cele 18 module identificate este conceput pentru a îndeplini o anumită sarcină, inclusiv colectarea acreditărilor, manipularea sistemului de fișiere prin ștergerea fișierelor și directoarelor și exfiltrarea datelor confidențiale și valoroase. De fapt, există un modul pentru exfiltrarea unui singur fișier și unul diferit capabil să cripteze, să comprima și să încarce mai multe fișiere simultan. Experții în securitate avertizează că IceApple este probabil încă în curs de dezvoltare activă, iar capacitățile sale ar putea fi extinse și mai mult prin introducerea de module suplimentare.
